Các nhóm Active Directory được phân biệt bởi kiểu (Type) và phạm vi (Scope) của chúng. Nhóm Active Directory có hai kiểu, mà mỗi kiểu đều có ba phạm vi khác nhau. Việc xây dựng các nhóm này dúng phạm vi của nó sẽ giúp chúng ta sử dụng tốt nhất nguồn lực quản trị khi tạo, gán, và quản lý việc truy cập đến nguồn tài nguyên. Khả năng của việc xây dựng các nhóm cũng phụ thuộc vào Cấp chức năng của miền mà tại đó các nhóm được tạo ra. Windows Server 2003 có hàng loạt các nhóm được tạo sẵn, và bạn cũng có thể tạo ra thêm bao nhiêu nhóm là tùy vào yêu cầu của bạn.
Nhóm Active Directory, không phụ thuộc vào kiểu hay phạm vi của nó, là các đối tượng trong CSDL Active Directory, cũng giống như tài khoản người dùng và đối tượng chứa là các đối tượng. so sánh với đối tượng người dùng, đối tượng nhóm là hoàn toàn tương tự. Thay vào những thuộc tính của đối tượng người dùng, đối tượng nhóm chỉ có một vài thuộc tính, mà quan trọng nhất trong số đó là danh sách các thành viên. Như tên của nó đã chỉ ra, danh sách thành viên đơn giản chỉ là một danh sách các đối tượng, như người dùng, các nhóm khác, máy tính, và Liên lạc (Contact), đó là các thành viên của nhóm. Tất cả các Cấp phép và Quyền được gán cho nhóm sẽ được mọi đối tượng có tên trong danh sách thành viên của nhóm thừa kế.
Trong Windows Server 2003, ta có thể tạo và quản trị tất cả các nhóm Active Directory bằng cách sử dụng bảng điều khiển “Active Directory Users and Computerrs”, mà ta có thể truy cập từ nhóm chương trình “Adminitrative Tool”. Giống như đối với bất cứ một đối tượng Active Directory nào, để có thể tạo và quản trị được nhóm bạn cần có các cấp phép thích hợp tạo đối tượng chứa, nơi nhóm được bố trí.
Hình 3.4: Bảng điều khiển “Active Directory Users And Computers
1. Kiểu nhóm của Active Directory có hai kiểu: nhóm bảo mật (Security) và nhóm phân phối (Distribution)
- Nhóm bảo mật là nhóm mà bạn dùng để gán các cấp phép để nó có thể truy cập tới các tài nguyên mạng. Khi một người nào đó nói tới nhóm liên quan tới windows server 2003 hay Active Directory, thông thường là họ đề cập đến nhóm Bảo mật. Các chương trình được thiết kế để làm việc với Active Directory cũng có thể sử dụng các nhóm Bảo mật cho các mục đích không liên quan tới việc bảo mật.
- Nhóm phân phối
Nhóm phân phối được sử dụng cho các chương trình có các chức năng không liên quan tới bảo mật. Bạn sử dụng nhóm Phân phối chỉ khi chức năng của nhóm không liên quan đến việc bảo mật, như gửi E-mail đến một nhóm các người dùng trong cùng thời điểm. Bạn không thể sử dụng nhóm phân phối để gán quyền hay cấp phép. Chỉ các chương trính được thiết kế làm việc với Active Directory là có thể sử dụng nhóm phân phối.
Phạm vi của nhóm xác định việc các cấp phép được gán cho các thành viên của nhóm như thế nào. Tất cả các nhóm Active Directory, cả nhóm phân phối và nhóm bảo mật, đều có thể xếp vào một trong ba phạm vi: Domain Local (cục bộ Miền), Global (Toàn thể), và Universal (Tổng hợp).
- Nhóm Domain Local (cục bộ miền)
Nhóm nhiều cục bộ thường được sử dụng để gán các cấp phép truy cập đến các tài nguyên, hoặc trực tiếp hoặc bằng cách thêm nhóm Global và nhóm Domain Local. Nhóm Domain Local có các đặc tính sau:
+ Nhóm Domain Local tồn tại trong tất cả các cấp chức năng: Windows 2000 Mixed, Windows 2000 native, Windows server 2003 interim và Windows server 2003.
+ Bạn chỉ có thể sử dụng nhóm cục bộ miền để trao đổi các cấp phép truy cập chỉ đến các tài nguyên trên cùng miền bạn tạo ra nhóm.
+ Khi bạn sử dụng cấp chức năng Windows 2000 mixed hay Windows 2003 interim, thành viên của nhóm cục bộ miền có thể bao gồm các tài khoản người dùng. Tài khoản máy tính và các nhóm Global từ bất cứ miền nào trong rừng. Ngoài ra, không tồn tại bất cứ một kiểu nhóm trong nhóm nào khác.
+ Khi bạn sử dụng Cấp chức năng Windows 2000 native hay WindowsServer 2003, nhóm cục bộ miền có thể bao gồm các Tài khoản người dùng, Máy tính, các nhóm Global và Universal từ bất cứ miền nào trong rừng, và các nhóm cục bộ miền khác trong cùng miền. Nhóm cục bộ miền có thể được chuyển thành nhóm Universal khi nó không có thành viên nào là nhóm cục bộ miền.
Nhóm cục bộ miền được sử dụng thông thường nhất để kiểm soát sự truy cập tới các tài nguyên chỉ trong một miền đơn. Ví dụ như bạn có thể tạo một nhóm cục bộ miền để trao cấp phép cho các thành viên của nó được truy cập đến một máy in nhất định. Sau đó bạn có thể thêm trực tiếp các người dùng trong miền vào nhóm cục bộ miền đã tạo, hoặc bạn có thể tạo ra các nhóm Global gồm các người dùng cần truy cập đến máy in và đặt nhóm Global này là thành viên của nhóm cục bộ miền đã tạo.
- Nhóm Global
Nhóm Global được sử dụng để cung cấp các thành viên đã được phân loại trong nhóm cục bộ miền cho các đối tượng Bảo mật hay cho việc gán các Cấp phép một cách trực tiếp (riêng cho trường hợp mạng sử dụng Cấp chức năng Windows 2000 mixed, hay Windows Server 2003 interim). Thông thường, nhóm Global được sử dụng để gom các người dùng và Máy tính trong cùng một miền mà có cùng công việc, vai trò, hay chức năng hoặc họ có cùng các nhu cầu tương tự trong việc truy cập mạng. Nhóm Global có các đặc tính sau:
• Nhóm Global có mặt tại tất cả các Cấp Chức năng: Windows 2000 Mixed, Windows 2000 native, Windowws Server 2003 interim, và Windows Server 200.
• Nhóm Global chỉ bao gồm các thành viên từ cùng một miền
• Khi bạn sử dụng Cấp chức năng Windows 2000 native hay Windows Server 2003, thành viên của nhóm Global có thể bao gồm các Tài khoản người dùng, Máy tính cũng như các các nhóm Global khác trong cùng miền.
• Nhóm Global có thể chuyển đổi thành nhóm Universal một khi nó không phải là thành viên của bất cứ một nhóm Global nào khác.
• Khi bạn sử dụng Cấp Chức năng Windows 2000 Mixed, nhóm Global chi bao gồm các thành viên là Tài khoản người dùng, Máy tính trong cùng miền mà thôi.
• Nhóm Global có thể là thành viên của nhóm Machine Local (Máy tính Cục bộ) hay nhóm Domain Local (cục bộ miền).
• Nhóm Global có thể được trao các Cấp phép truy cập đến các tài nguyên trên bất cứ miền nào trong rừng và trên các miền được tin cậy nằm trên rừng khác.
Nhóm Global được sử dụng thông dụng nhất trong việc quản lý các Cấp phép cho các đối tượng Thư mục, như Tài khoản người dùng và Máy tính, thường yêu cầu việc bảo trì trường xuyên. Trên một mạng bao gồm nhiều miền, lợi ích chính của việc sử dụng nhóm global thay cho nhóm Universal trong việc quản lý các Cấp phép là ở chỗ nhóm global không bị nhân bản ngoài phạm vi của miền. Điều này làm giảm các lưu thông mạng được dùng cho việc nhân bản đến Global Catalog, là thư mục của toàn bộ các tài nguyên trong rừng. Sử dụng nhóm Global để gán các Cấp phép cho các đối tượng cần nhân bản đến Global Catalog sẽ là thích hợp hơn so với việc sử dụng nhóm Domain Local cho mục đích này.
- Nhóm Universal
Nhóm Universal được sử dung chủ yếu để trao các Cấp phép truy cập đến các tài nguyên trên nhiều miền. Nhóm Universal có các đặc tính sau:
• Nhóm Universal chỉ xuất hiện trong các Cấp chức năng Windows 2000 native và Windows Server 2003.
• Thành viên của nhóm Universal có thể bao gồm các Tài khoản người dùng, Máy tính, các nhóm Global, và các nhóm Universal khác trong bất cứ miền nào trong rừng. Nhóm Universal có thể chuyển đổi thành nhóm Domain Local, nhóm Global khi chúng không có các nhóm Universal khác là thành viên.
• Khi bạn sử dụng Cấp Chức năng Windows 2000 mixed, bạn không thể tạo ra nhóm Universal.
• Nhóm Universal có thể được trao các Cấp phép để truy cập đến các tài nguyên trong bất kể miền nào trong rừngvà trong các miền nằm trong các rừng đã được tin cậy.
Chức năng chính của nhóm Universal là tập hợp các nhóm mở rộng qua nhiều miền. Nói chung, nhóm Universal là không cần thiết trên mạng chỉ bao gồm một miền đơn. Để sử dụng nhóm Universal một cách hiệu quả, tốt nhất
là chúng ta tạo nhóm Global trên mỗi miền, trong đó có chứa các Tài khoản người dùng và Máy tính, sau đó thêm các nhóm Global này vào danh sách thành viên của nhóm Universal. Việc này cho phép bạn có thể tạo ra một nhóm Universal đơn mà có thể sử dụng trên toàn bộ doanh nghiệp, với mối quan hệ thành viên không bị xáo trôn một cách thường xuyên. Phương phát trên thường được lựa chọn hơn so việc thêm trực tiếp người dùng và Máy tính vào nhóm Universal một cách trực tiếp do mỗi quan hệ thành viên đều phải được nhân bản đến Global Catalog. Quản lý các người dùng và máy tính trong nhóm Global sẽ không ảnh hưởng đến quan hệ thành viên của nhóm Universal và do đó không sinh ra các lưu thông phụ thêm cho việc nhân bản.
Nhóm Universal cũng là hữu dụng khi chúng ta muốn trao cấp phép cho người dùng được truy cập đến các tài nguyên nằm trên nhiều hơn một miền. Không giống nhóm cục bộ miền, bạn có thể gán các cấp phép cho nhóm Universal được truy cập đến các nguồn tài nguyên nằm trên nhiều hơn một miền. Không giống nhóm cục bộ miền, bạn có thể gán các cấp phép cho nhóm Universal được truy cập đến các nguồn tài nguyên được bố trí tại bất cứ miền nào trên mạng của bạn. Ví dụ, nếu ban lãnh đạo cần truy cập đến các máy in trên toàn bộ mạng của bạn, bạn có thể tạo nhóm Universal cho mục đích này và gán cấp phép cho nó, như vậy toàn bộ các thành viên của nhóm này có thể sử dụng tất cả các máy in hiện có trên tất cả các miền trong mạng.
4. Nhóm trong nhóm
Khả năng đưa một nhóm là thành viên của nhóm khác là một trong các tính năng hữu dụng của việc thực thi đối tượng nhóm Active Directory. Kỹ thuật này được gọi là “Nhóm trong nhóm: -(Group nesting). Thực thi nhóm trong nhóm tạo cho bạn có khả năng quản lý việc cấp phép truy cập tài nguyên một cách hiệu quả hơn trong doanh nghiệp của bạn mà không gây ra các lưu thông phụ thêm bất thường cho việc nhân bản. Như đã nhắc tới ở trên, miền của bạn bắt buộc phải sử dụng Cấp chức năng Windows 2000 native hay Windows Server 2003 để nhận được đầy đủ các tính năng ưu việt của khả năng nhóm trong nhóm của Active Directory, và thậm chí như vậy, vẫn còn các hạn chế trong việc thực thi kỹ thuật nhóm trong nhóm của các loại phạm vi nhóm khác nhau. Các hạn chế này, cũng với toàn bộ các hạn chế về thành viên trong ba phạm vi nhóm.
Phạm vi nhóm cục bộ miền Thành viên đối cấp chức năng Windows 2000 Mixed hay Windows Server 2003 Interim: Tài khoản người dùng, máy tính và nhóm global từ bất cứ miền nào
Thành viên đối với cấp chức năng Windows 2000 Native hay Windows Server 2003: tài khoản người dùng, máy tính, nhóm universal, and nhóm global từ bất cứ miền nào, nhóm cục bộ miền trong cùng miền
Global Tài khoản người dùng, Máy tính trong cùng miền
Tài khoản người dùng, máy tính, nhóm global khác trong cùng miền Universal Không áp dụng Tài khoản người dùng,
máy tính, nhóm universal, và nhóm global từ bất cứ miền nào trong rừng
Bảng3.2 : các quy tắc thành viên của phạm vi nhóm
Các qui tắc thành viên trong bảng trên là yếu tố đầu tiên của việc quản trị nhóm một cách hiệu quả. Nếu bạn rơi vào trường hợp bạn không thể thêm thành viên nhất định nào đó vào một nhóm hay không thể sử dụng nhóm để cung cấp việc truy cập đến một nguồn tài nguyên nào đó, quá trình xử lí sự cố nên bắt đầu bằng việc thử lại Phạm vị nhóm và Cấp chức năng, để xác định bạn có được hỗ trợ trong việc thực hiện các tác vụ nói trên không.
Mặc dù kỹ thuật nhóm trong nhóm là một công cụ đáng giá, quản trị mạng nên thận trọng với các tính năng của nó. Khi bạn bố trí theo nhiều lớp sâu, có thể làm cho việc theo dõi các quan hệ thành viên và các cấp phép được thừa kế thế nào trên toàn mạng trở nên khó khăn hơn. Một quy luật chung, bố trí nhóm trong nhóm một cấp là hữu hiệu trong phần lớn các môi trường mạng và là dễ duy trì hơn.
5. Chuyển đổi nhóm
Khi tạo nhóm, bạn phải xác định kiểu và phạm vi của nó. Mặc dù vậy, trong miền sử dụng cấp chức năng Windows 2000 Native hay Windows Server 2003, bạn có thể chuyển đổi các nhóm đã tạo sang phạm vi khác bất cứ lúc nào, có lưu ý đến một số hạn chế trong quan hệ thành viên. Các chuyển đổi phạm vi nhóm được phép và các điều kiện cần thiết để chuyển đổi.
Đến Domain Local Đến Global Đến Universal Từ Do main Local Không áp dụng Không được phép cho phép chỉ trong trường hợp không có thành viên là nhóm cục bộ miền
Từ Global Không được phép
Không áp dụng Cho phép nếu không là thành viên của nhóm Global
Từ Universal Không hạn chế Cho phép nếu không có nhóm Universal khác là thành viên
Không áp dụng
Bảng 3.3 :các hạn chế chuyển đổi phạm vi
6. Xây dựng nhóm Global và Domail Local
Tạo ra các nhóm với kiểu và phạm vi sai sẽ dẫn đến việc gặp các lỗi khi thực thi các tác vụ đã định.
Đối với phần lớn việc cài đặt mạng, phương pháp thường dùng là phát triển các nhóm sử dụng phạm vi Global và Domain Local theo các tiêu chí sau:
- Tạo nhóm cục bộ miền cho các tài nguyên được chia sẻ: Xác định các tài nguyên, như thư mục hay máy in mà người dùng cần truy cập, và tạo một hay hai nhóm cho các tài nguyên này
- Gán các cấp phép truy cập tài nguyên cho nhóm miền cục bộ: Gán các cấp phép cần thiết để truy cập tài nguyên cho nhóm miền cục bộ tương ứng.
- Tạo các nhóm Global cho các người dùng có cùng các yêu cầu công việc: Xác định các người dùng có cùng các yêu cầu công việc và thêm đối tượng người dùng của họ vào nhóm Global
- Thêm nhóm Global cần truy cập tài nguyên vào nhóm miền cục bộ tương ứng: Xác định tất cả các nhóm Global có yêu cầu truy cập đến một nguồn tài nguyên nhất định, và đưa các nhóm Global đó là thành viên của nhóm Domain local tương ứng
Trong khi bạn tạo ra các nhóm theo các tiêu chí trên, bạn sẽ điều chỉnh các cấp phép cho nhóm miền cục bộ khi nguồn tài nguyên cần thay đổi và sẽ điều chỉnh thành viên của nhóm Global khi nhân sự cần thay đổi
3.4- Các nhóm mặc định của Windows server 2003
Windows server 2003 sẽ tự động tạo ra một số các nhóm trong đó chứa các tài khoản người dùng dự sẵn. Bạn có thể sử dụng các nhóm này, thay đổi
chúng nếu cần, hay tạo ra các nhóm mới của riêng bạn. Có bốn loại Windows server 2003: Nhóm cục bộ dưn sẵn, chỉ tồn tại trong trường hợp máy tính không phải là máy chủ quản trị miền, và ba loại nhóm mặc định trong Active Directory, Nhóm xác đinh trước, nhóm dự sẵn, và nhóm đồng nhất đặc biệt.
- Nhóm cục bộ dự sẵn (Built-in Local Group)
Máy chủ độc lập chạy máy chủ thành viên chạy Windows Server 2003 tất cả đều có các nhóm cục bộ dự sẵn. Máy chủ quản trị Miền không có các nhóm cục bộ do SAM của nó đã được chuyển đổi sang sử dụng Active Directory. Các nhóm cục bộ dự sẵn nằm trong thư mục Group của Snap-in “Local Users And Group”. Các nhóm cục bộ dự sẵn trong Windows server